BLOG

BLOG

Markus Groß ist Gründer und Administrator dieses Blogs und verfügt über umfassende Erfahrung in strategischen IT-Themen. Sein fachlicher Schwerpunkt liegt auf IT-Governance und Compliance, insbesondere in der Anwendung von COBIT, der Umsetzung regulatorischer Anforderungen wie DORA oder NIS2 und dem Aufbau belastbarer Steuerungsstrukturen. Im Bereich Service-Management bringt er langjährige Praxis mit ITIL sowie der Einführung von Best Practices ein.

Ein weiterer Kernbereich seiner Arbeit ist die Informationssicherheit, mit besonderem Fokus auf den Aufbau und die Weiterentwicklung von ISMS nach ISO27001 sowie BSI IT-Grundschutz, die Entwicklung von Sicherheitsstrategien und die Umsetzung von BYOD-Konzepten. Darüber hinaus ist Markus Groß versiert im Projektmanagement und wendet Methoden wie PRINCE2, LEAN/SIX SIGMA und agile Ansätze gezielt an, um Projekte effizient und erfolgreich zu steuern.

In seinen Beiträgen verbindet er fundierte Analysen mit praxisnahen Empfehlungen. Sein Ziel ist es, Leserinnen und Lesern tiefgehende, sachlich fundierte Einblicke zu geben, die sie in der strategischen Ausrichtung ebenso unterstützen wie in der operativen Umsetzung von IT-, Sicherheits- und Compliance-Vorhaben.

Der COBIT 2019 Design Guide: Maßgeschneiderte IT-Governance

Der COBIT 2019 Design Guide: Maßgeschneiderte IT-Governance

Der COBIT 2019 Design Guide ist weit mehr als ein Handbuch zum Ausfüllen von Tabellen. Er ist das fehlende Bindeglied zwischen allgemeiner „Good Practice“ und den sehr konkreten Realitäten Ihrer Organisation: Zielen, Risiken, Kultur, Technologien, regulatorischen Zwängen, Ressourcen und Ambitionen. Sein Anspruch ist nicht, ein starres Korsett zu liefern, sondern ein Bau- und Vermessungsplan für ein Governance-System, das zu Ihrem Unternehmen passt – heute, morgen und in zwei Reorganisationen.

Im Kern beantwortet der Design Guide vier Fragen:


Weiterlesen
12
63947 Aufrufe

Kontrolle oder Chaos? MaRisk als Stresstest für Banken und IT

Kontrolle oder Chaos? MaRisk als Stresstest für Banken und IT

Es gibt Momente, in denen ein Regelwerk seinen wahren Charakter zeigt. Nicht, wenn alles ruhig ist und Pläne akkurat funktionieren, sondern wenn mehrere Dinge gleichzeitig schiefgehen: Märkte zucken, Systeme stolpern, ein Dienstleister meldet Störung, das Callcenter läuft am Limit, und im Vorstand klingeln die Telefone. Genau in diesen Augenblicken beweist sich MaRisk – als Stresstest für Steuerung, Daten, Prozesse und Verhalten. Entweder entsteht Kontrolle: klare Prioritäten, kurze Schleifen, nachvollziehbare Entscheidungen, verlässliche Eskalationen. Oder es herrscht Chaos: Meeting-Marathons ohne Beschluss, Reports, die mehr Fragen als Antworten erzeugen, widersprüchliche Mails, Verantwortungen im Nebel. Dieser Artikel zeigt, warum MaRisk im Kern kein Papierprojekt ist, sondern ein System, das einen ganzen Kosmos aus Kredit, Markt, Liquidität, IT, Auslagerungen und operationellen Risiken in handhabbare Praxis übersetzt – und warum gerade IT-Organisationen davon genauso betroffen sind wie die klassischen Risikoeinheiten.

Worum es im Kern geht: Steuerungsfähigkeit unter Druck

MaRisk ist weder Checklistenromantik noch Selbstzweck. Es ist der Versuch, in einem hochkomplexen Umfeld eine gemeinsame Denkschiene für Entscheidungen zu etablieren: Welche Risiken nehmen wir bewusst? Woran erkennen wir Abweichungen früh? Welche Schwellen lösen Maßnahmen aus? Wer darf was entscheiden? Und wie kommen Erkenntnisse aus Fachbereichen, IT und Auslagerungen zur rechten Zeit an den Ort, an dem gehandelt wird?


Weiterlesen
6
16157 Aufrufe

Von 20 auf 18: Wie v8 die CIS Controls neu strukturiert

Von 20 auf 18: Wie v8 die CIS Controls neu strukturiert

Es passiert nicht oft, dass ein technischer Katalog das Zeug zur gemeinsamen Sprache einer ganzen Branche hat. Die CIS Controls sind so ein Fall – und mit Version 8 haben sie sich neu sortiert, ohne ihre DNA zu verlieren. Aus 20 wurden 18 Controls, aus verstreuten Unterpunkten wurden präziser formulierte Safeguards, aus „Hardware“ und „Software“ wurden Enterprise Assets, aus höflichen Empfehlungen wurden umsetzbare Anforderungen für eine Welt, in der Workloads in die Cloud wandern, Mitarbeiter von überall arbeiten und Lieferketten zum größten Risiko werden können. v8 ist kein kosmetisches Update; es ist die Antwort auf die Frage: Wie priorisiert man Sicherheitsarbeit, wenn Infrastruktur, Identitäten und Daten längst über Rechenzentrum, SaaS und mobile Endpunkte verstreut sind – und wenn die Angreifer inzwischen Produktmanagement in eigener Sache betreiben?

Warum es eine Neuordnung brauchte

Die frühen Fassungen der Controls kamen aus einem ganz bestimmten Schmerz: Immer wieder öffentlich ausgenutzte Schwachstellen, vernachlässigte Baselines, keine Übersicht über Assets, zu breite Adminrechte, Protokolle, die niemand liest, Backups, die im Ernstfall nicht zurückspielen. Version 7 brachte diese Einsichten in eine klare, priorisierte Reihenfolge. Aber die Realität drehte schneller: Cloud wurde Standard, SaaS wurde Geschäftsgrundlage, Identitäten wurden zur neuen Perimeter-Kante, Remote Work wurde Alltagsbetrieb, und Drittparteirisiken wurden sichtbar – nicht nur regulatorisch, sondern operativ. Viele Unternehmen stellten fest, dass v7 zwar wirkt, aber Vokabular und Zuschnitt die neuen Infrastrukturen nur unzureichend abbildeten. v8 reagiert darauf, ohne den Kern (Priorisieren, Messen, Automatisieren) zu verwässern.


Weiterlesen
6
9912 Aufrufe

Wie man als SCRUM Master (PSM I) zertifiziert wird?

Ein praxistauglicher Lern- und Denkleitfaden für Menschen, die Scrum wirklich verstehen (und die Prüfung souverän bestehen) wollen

Kurzfassung für Eilige: Lies den Scrum Guide mehrere Male wirklich aktiv, trainiere mit dem Scrum Open und verwandten Assessments, lerne die Warum-Ebene hinter Regeln und Begriffen, übe das Erkennen typischer Fallen – und nutze in der Prüfung die Zeit mit System. Der Rest dieses Textes macht daraus einen vollständigen, gut verdaulichen Lernpfad mit vielen Denkanstößen, Mini-Drills und Praxisbezügen.

Warum dieser Text anders aufgebaut ist

Statt einer klassischen „Roadmap“ oder reinen Tipp-Liste bekommst du hier einen Werkzeugkasten in Form von Bausteinen, die du modular einsetzen kannst:


Weiterlesen
12
73310 Aufrufe

Gamification

Gamification

Gamification klingt nach hipper Modevokabel, ist aber längst im Alltag angekommen: Wer schon einmal eine Fortschrittsanzeige beim Ausfüllen eines Online-Formulars gesehen, in einer Fitness-App Abzeichen gesammelt, bei einer Lernplattform Streaks gepflegt oder in einem Schulungstool Quizfragen beantwortet hat, hat Gamification erlebt. Hinter dem Begriff steckt die bewusste Übertragung ausgewählter Spielprinzipien auf Kontexte, die eigentlich nichts mit Spielen zu tun haben – von Compliance-Trainings über Gesundheitsprävention bis hin zu Energiesparen, Nachhaltigkeit oder Kundenbindung. Der Effekt ist erstaunlich: Was trocken, repetitiv oder anstrengend wirkt, wird zugänglicher, motivierender und messbar wirksamer.

Wichtig ist dabei, Gamification nicht mit „Spielen bauen“ zu verwechseln. Niemand muss ein World-of-Warcraft-Klon entwickeln, um eine Schulung interessanter zu machen. Oft genügt ein gezielt platziertes Set an kleinen, wohlüberlegten Bausteinen – eine glaubwürdige Fortschrittsanzeige, eine klar sichtbare Zielmarke, kurze Herausforderungen, unmittelbares Feedback, gelegentliche Belohnungen, eine gute Geschichte. Der Clou ist nicht die Überfrachtung mit Effekten, sondern die Passung zwischen Spielmechanik, Zielgruppe, Kontext und dem eigentlichen Zweck der Anwendung.


Weiterlesen
12
Markiert in:
71442 Aufrufe
Image
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern. Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.